2014년 11월 10일 월요일

여러분의 계정을 안전하게 보호하기 위한 노력

작성일: 2014년 11월 10일 월요일

(*아래 버튼을 누르면 음성으로 블로그를 읽어 드립니다.)

최근 미국에서 실시된 설문조사에 따르면 사람들은 집에 강도가 드는 것보다 해킹을 당하는 것을 더 걱정한다고 합니다. 그래서 구글에서는 구글 계정을 안전하게 보호하기 위해 지속적인 노력을 기울여 왔습니다. 구글은 보안 시스템을 통해 악의를 가진 사용자를 차단하고 있으며 이러한 노력으로 지난 몇 년 동안 계정 하이재킹(hijacking)이 99% 이상 감소하였습니다.

구글에서는 대규모 하이재킹(보통 다량의 스팸 전송에 사용)에서부터 국가 지원 공격(종종 정치적 의도를 가지고 특정 집단을 공격)에 이르기까지 다양한 잠재적인 위협 요소를 모니터링합니다.

이번 주 구글에서는 ‘매뉴얼 하이재킹(manual hijacking)’이라 이름 붙인 새로운 유형의 위협에 대한 연구를 발표합니다. 매뉴얼 하이재킹이란 전문 공격자들이 상당 시간을 들여 단일 피해자의 계정을 공격하는 것으로, 보통 금전적 피해를 야기합니다. 드물게 발생(매일 100만 명 사용자 당 9건)하기는 하지만 종종 큰 피해를 초래하기 때문에 구글은 이러한 유형의 하이재커를 연구함으로써 모든 유형의 하이재킹에 대한 보호 대책을 개선하고 있습니다.

매뉴얼 하이재커는 주로 피싱을 통해 계정에 침입합니다. 사용자를 속이는 메시지를 전송하여 사용자 이름, 비밀번호, 기타 개인 정보를 유출시키는 방식입니다. 이 연구를 위해 구글에서는 피싱 메시지와 웹사이트의 몇 가지 출처를 분석하여 하이재커가 어떻게 공격을 수행하는지, 그리고 계정에 침입한 후 어떠한 민감한 정보를 빼내려고 하는지 관찰하였습니다. 연구 결과의 일부는 다음과 같습니다.
  • 간단한 방식으로 공격: 대부분의 사람들은 자신은 피싱 공격을 당하지 않을 것이라 생각하지만, 구글 연구 결과에 따르면 일부 가짜 웹사이트는 45%의 확률로 사용자를 속일 수 있었습니다. 평균적으로는 14%의 확률을 보여주었으며, 누가 봐도 가짜인 것을 알 수 있는 웹사이트의 경우에도 3%의 확률로 사용자를 속일 수 있었습니다. 한 명의 공격자가 수백만 개의 메시지를 전송할 수 있다는 점을 고려하면 이 수치는 결코 무시할 만한 것이 아닙니다.
  • 신속, 철저한 공격: 하이재킹을 당한 계정의 약 20%는 해커가 로그인 정보를 입수한 후 30분 이내에 침입됩니다. 하이재커가 원하는 계정에 침입하고 나면 이들은 20분 이상의 시간을 들여 원래 계정 사용자가 로그인하지 못하도록 비밀번호를 바꾸고 은행 계좌 정보, 소셜 미디어 계정 등 다른 계정 상세 정보를 찾습니다. 그리고 새로운 피해자에게 스팸 메시지를 보냅니다.
  • 맞춤화된 공격: 하이재커는 피해자의 계정에서 피해자의 주소록에 있는 주소로 피싱 이메일을 전송합니다. 이메일을 받는 가족이나 친구는 그 이메일이 피해자 본인이 보낸 것으로 생각하기 때문에 쉽게 속을 수 있습니다. 하이재킹된 계정의 주소록에 있는 사용자의 경우 피해를 당할 가능성이 36배나 높습니다.
  • 지능화된 공격: 하이재커는 새로운 보안 강화 방법이 나올 때마다 재빨리 수법을 바꿉니다. 예를 들어 구글에서는 의심스러운 기기나 위치에서 로그인을 할 경우 본인 확인 질문(예: ‘주로 어느 도시에서 로그인하시나요?’)에 대한 답을 요구하는데, 이 방식이 사용되자마자 하이재커는 질문에 해당하는 답을 찾아내기 시작했습니다.
구글에서는 이 연구를 비롯한 다양한 연구를 지속적으로 진행하고 있으며, 연구 결과를 기반으로 많은 계정 보안 시스템을 개선하고 있습니다. 하지만 보안을 위해서는 사용자의 협조도 필요합니다.
  • 항상 조심하기: 지메일은 대다수의 스팸 및 피싱 이메일을 감지하여 차단하지만 로그인 정보나 기타 개인 정보를 묻는 메일이 있으면 항상 조심하세요. 이러한 메일을 받은 경우 절대로 답장하지 말고 구글에 신고해 주세요. 의심되는 메일을 받은 경우 (이메일에 포함된 링크를 사용하지 말고) 직접 웹사이트를 방문하여 계정 정보를 검토하거나 업데이트하세요.
  • 계정을 최대한 빨리 복구하기: 계정이 이미 도용된 경우, 구글에서는 사용자에게 연락하여 계정 소유 확인을 받습니다. 따라서 백업 전화번호 보조 이메일 주소를 구글에 제공할 것을 강력히 권고하고 있습니다. 물론 계정이 도용되지 않도록 안전한 비밀번호를 설정하고 주기적으로 변경해 주는 것이 좋겠죠.
  • 2단계 인증 사용하기: 구글에서 무료로 제공하는 2단계 인증 서비스를 사용하면 모든 유형의 계정 하이재킹 공격으로부터 한층 강화된 보안을 유지할 수 있습니다. 비밀번호 외에도 전화번호를 사용하여 본인임을 인증할 수 있습니다. 최근에는 USB 기기로 로그인하는 옵션도 추가했습니다.
잠시만 시간을 내어 계정 보안 페이지를 방문하여 내 백업 연락처 정보가 입력되었는지, 기타 보안 설정이 최신 상태인지 확인해 보세요.

작성자: 엘리 버즈테인(Elie Bursztein), 남용방지연구총괄


시간: